Usare ruoli e autorizzazioni
Microsoft Defender per il cloud usa il controllo degli accessi basato sul ruolo di Azure (Azure Role-Based Access Control, RBAC) per fornire ruoli predefiniti. È possibile assegnare questi ruoli a utenti, gruppi e servizi in Azure per concedere agli utenti l'accesso alle risorse in base all'accesso definito nel ruolo.
Defender per il cloud valuta la configurazione delle risorse e identifica problemi di sicurezza e vulnerabilità. In Defender per il cloud è possibile visualizzare le informazioni correlate a una risorsa se è stato assegnato il ruolo di proprietario, collaboratore o lettore per la sottoscrizione o il gruppo di risorse a cui appartiene la risorsa.
Oltre ai ruoli predefiniti, esistono due ruoli specifici di Defender per il Cloud:
- Ruolo con autorizzazioni di lettura per la sicurezza: un utente che appartiene a questo ruolo ha accesso in sola lettura a Defender per il Cloud. L'utente può visualizzare raccomandazioni, avvisi, criteri di sicurezza e stati di sicurezza, ma non può apportare modifiche.
- Amministratore della sicurezza: un utente che appartiene a questo ruolo ha lo stesso accesso del Ruolo con autorizzazioni di lettura per la sicurezza e può anche aggiornare i criteri di sicurezza e rimuovere gli avvisi e le raccomandazioni.
È consigliabile assegnare il ruolo con il minor numero di autorizzazioni necessarie affinché gli utenti completino le attività.
Ad esempio, è possibile assegnare il ruolo di lettore agli utenti che devono visualizzare solo le informazioni sull'integrità di sicurezza di una risorsa senza eseguire alcuna azione. Gli utenti con il ruolo di lettore possono applicare raccomandazioni o modificare i criteri.
Ruoli e azioni consentite
La tabella seguente contiene i ruoli e le azioni consentite in Defender per il Cloud.
| Azione | Ruolo con autorizzazioni di lettura per la sicurezza / Lettore |
Amministrazione della protezione | Collaboratore / Proprietario | Collaboratore | Proprietario |
|---|---|---|---|---|---|
| (Livello di gruppo di risorse) | (A livello di sottoscrizione) | (A livello di sottoscrizione) | |||
| Aggiungere/assegnare iniziative, inclusi gli standard di conformità alle normative | - | ✔ | - | - | ✔ |
| Modificare i criteri di sicurezza | - | ✔ | - | - | ✔ |
| Abilitare/disabilitare i piani di Microsoft Defender | - | ✔ | - | ✔ | ✔ |
| Ignorare gli avvisi | - | ✔ | - | ✔ | ✔ |
| Applicare le raccomandazioni di sicurezza per una risorsa (Usare Correggere) |
- | - | ✔ | ✔ | ✔ |
| Visualizzare gli avvisi e le raccomandazioni | ✔ | ✔ | ✔ | ✔ | ✔ |
| Esentare le raccomandazioni sulla sicurezza | - | ✔ | - | - | ✔ |
| Configurare le notifiche di posta elettronica | - | ✔ | ✔ | ✔ | ✔ |
Nota
Anche se i tre ruoli indicati sono sufficienti per abilitare e disabilitare i piani di Defender, per abilitare tutte le funzionalità di un piano è necessario il ruolo Proprietario.
Il ruolo specifico necessario per distribuire i componenti di monitoraggio dipende dall'estensione che si sta distribuendo. Altre informazioni sui componenti di monitoraggio .
Ruoli usati per effettuare automaticamente il provisioning di agenti ed estensioni
Per consentire al ruolo amministratore della sicurezza di effettuare automaticamente il provisioning di agenti ed estensioni usati nei piani di Defender per il Cloud, Defender per il Cloud usa la correzione dei criteri in modo analogo a Criteri di Azure. Per usare la correzione, Defender per il Cloud deve creare entità servizio, dette anche identità gestite che assegnano ruoli a livello di sottoscrizione. Ad esempio, le entità servizio per il piano Defender per contenitori sono:
| Entità servizio | Ruoli |
|---|---|
| Defender per contenitori che effettua il provisioning del profilo di sicurezza di Azure Kubernetes Service (AKS) | • Collaboratore estensione Kubernetes • Collaboratore • Collaboratore del servizio Azure Kubernetes • Collaboratore di Log Analytics |
| Provisioning di Kubernetes con abilitazione di Defender per contenitori | • Collaboratore del servizio Azure Kubernetes • Collaboratore estensione Kubernetes • Collaboratore • Collaboratore di Log Analytics |
| Criteri di Azure per Kubernetes per il provisioning di Defender per contenitori | • Collaboratore estensione Kubernetes • Collaboratore • Collaboratore del servizio Azure Kubernetes |
| Estensione dei criteri di provisioning di Defender per Kubernetes con abilitazione Arc | • Collaboratore del servizio Azure Kubernetes • Collaboratore estensione Kubernetes • Collaboratore |
Autorizzazioni in AWS
Quando si esegue l'onboarding di un connettore Amazon Web Services (AWS), Defender per il cloud crea ruoli e assegna autorizzazioni sull'account AWS. La tabella seguente descrive i ruoli e le autorizzazioni assegnati da ogni piano all'account AWS.
| Piano Defender per il cloud | Ruolo creato | Autorizzazione assegnata all'account AWS |
|---|---|---|
| Cloud Security Posture Management (CSPM) di Defender | CspmMonitorAws | Per individuare le autorizzazioni delle risorse AWS, leggere tutte le risorse ad eccezione di: consolidatedbilling: freetier: fatturazione: pagamenti: fatturazione: imposta: cur:* |
| CSPM Defender Defender per server |
DefenderForCloud-AgentlessScanner | Per creare e pulire gli snapshot del disco (con ambito per tag) "CreatedBy": autorizzazioni "Microsoft Defender per il cloud": ec2:DeleteSnapshot ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshot ec2:CreateSnapshot ec2:DescribeSnapshots ec2:DescribeInstanceStatus Autorizzazione per EncryptionKeyCreation kms:CreateKey kms:ListKeys Autorizzazioni per EncryptionKeyManagement kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:TagResource kms:ListResourceTags kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| CSPM Defender Defender per Archiviazione |
SensitiveDataDiscovery | Autorizzazioni per individuare i bucket S3 nell'account AWS, autorizzazione dello scanner di Defender per il cloud per accedere ai dati nei bucket S3. Solo lettura S3; KMS decrypt kms:Decrypt |
| CIEM | DefenderForCloud-Ciem DefenderForCloud-OidcCiem |
Autorizzazioni per l'individuazione Ciem sts:AssumeRole sts:AssumeRoleWithSAML sts:GetAccessKeyInfo sts:GetCallerIdentity sts:GetFederationToken sts:GetServiceBearerToken sts:GetSessionToken sts:TagSession |
| Defender per server | DefenderForCloud-DefenderForServers | Autorizzazioni per configurare l'accesso alla rete JIT: ec2:RevokeSecurityGroupIngress ec2:AuthorizeSecurityGroupIngress ec2:DescribeInstances ec2:DescribeSecurityGroupRules ec2:DescribeVpcs ec2:CreateSecurityGroup ec2:DeleteSecurityGroup ec2:ModifyNetworkInterfaceAttribute ec2:ModifySecurityGroupRules ec2:ModifyInstanceAttribute ec2:DescribeSubnets ec2:DescribeSecurityGroups |
| Defender per contenitori | DefenderForCloud-Containers-K8s | Autorizzazioni per elencare i cluster EKS e raccogliere relativi dati. eks:UpdateClusterConfig eks:DescribeCluster |
| Defender per contenitori | DefenderForCloud-DataCollection | Autorizzazioni per il gruppo di log di CloudWatch creato da Defender per il cloud “logs:PutSubscriptionFilter logs:DescribeSubscriptionFilters logs:DescribeLogGroups autp logs:PutRetentionPolicy Autorizzazioni per l'uso della coda SQS creata da Defender per il cloud sqs:ReceiveMessage sqs:DeleteMessage |
| Defender per contenitori | DefenderForCloud-Containers-K8s-cloudwatch-to-kinesis | Autorizzazioni per accedere al flusso di distribuzione dei dati di Kinesis Firehose creato da Defender per il cloud firehose:* |
| Defender per contenitori | DefenderForCloud-Containers-K8s-kinesis-to-s3 | Autorizzazioni per accedere al bucket S3 creato da Defender per il cloud s3:GetObject s3:GetBucketLocation s3:AbortMultipartUpload s3:GetBucketLocation s3:GetObject s3:ListBucket s3:ListBucketMultipartUploads s3:PutObject |
| Defender per contenitori Defender CSPM |
MDCContainersAgentlessDiscoveryK8sRole | Autorizzazioni per la raccolta dati dai cluster EKS. Aggiornamento dei cluster EKS per supportare la restrizione IP e la creazione di ickerntitymapping per i cluster EKS "eks:DescribeCluster" "eks:UpdateClusterConfig*" |
| Defender per contenitori Defender CSPM |
MDCContainersImageAssessmentRole | Autorizzazioni per analizzare le immagini da ECR e ECR Public. AmazonEC2ContainerRegistryReadOnly AmazonElasticContainerRegistryPublicReadOnly AmazonEC2ContainerRegistryPowerUser AmazonElasticContainerRegistryPublicPowerUser |
| Defender per server | DefenderForCloud-ArcAutoProvisioning | Autorizzazioni per installare Azure Arc in tutte le istanze EC2 usando SSM ssm:CancelCommand ssm:DescribeInstanceInformation ssm:GetCommandInvocation ssm:UpdateServiceSetting ssm:GetServiceSetting ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole ssm:GetAutomationExecution ec2:DescribeIamInstanceProfileAssociations ec2:DisassociateIamInstanceProfile ec2:DescribeInstances ssm:StartAutomationExecution iam:GetInstanceProfile iam:ListInstanceProfilesForRole |
| Defender CSPM | DefenderForCloud-DataSecurityPostureDB | Autorizzazione per individuare le istanze di Servizi Desktop remoto nell'account AWS, creare uno snapshot dell'istanza di Servizi Desktop remoto, - Elencare tutti i database/cluster Servizi Desktop remoto - Elencare tutti gli snapshot di database/cluster - Copiare tutti gli snapshot di database/cluster - Eliminare/aggiornare lo snapshot del database/cluster con prefisso defenderfordatabases - Elencare tutte le chiavi del server di gestione delle chiavi - Usare tutte le chiavi del server di gestione delle chiavi solo per Servizi Desktop remoto nell'account di origine - Elencare le chiavi del server di gestione delle chiavi con prefisso di tag DefenderForDatabases - Creare un alias per le chiavi del server di gestione delle chiavi Autorizzazioni necessarie per individuare le istanze di Servizi Desktop remoto rds:DescribeDBInstances rds:DescribeDBClusters rds:DescribeDBClusterSnapshots rds:DescribeDBSnapshots rds:CopyDBSnapshot rds:CopyDBClusterSnapshot rds:DeleteDBSnapshot rds:DeleteDBClusterSnapshot rds:ModifyDBSnapshotAttribute rds:ModifyDBClusterSnapshotAttribute rds:DescribeDBClusterParameters rds:DescribeDBParameters rds:DescribeOptionGroups kms:CreateGrant kms:ListAliases kms:CreateKey kms:TagResource kms:ListGrants kms:DescribeKey kms:PutKeyPolicy kms:Encrypt kms:CreateGrant kms:EnableKey kms:CancelKeyDeletion kms:DisableKey kms:ScheduleKeyDeletion kms:UpdateAlias kms:UpdateKeyDescription |
Autorizzazioni in GCP
Quando si esegue l'onboarding di un connettore Google Cloud Platforms (GCP), Defender per il cloud crea ruoli e assegna autorizzazioni sul progetto GCP. La tabella seguente descrive i ruoli e le autorizzazioni assegnati da ogni piano al progetto GCP.
| Piano Defender per il cloud | Ruolo creato | Autorizzazione assegnata all'account AWS |
|---|---|---|
| Defender CSPM | MDCCspmCustomRole | Queste autorizzazioni consentono al ruolo CSPM di individuare e analizzare le risorse all'interno dell'organizzazione: Consente al ruolo di visualizzare organizzazioni, progetti e cartelle: resourcemanager.folders.get resourcemanager.folders.list resourcemanager.folders.getIamPolicy resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy Consente il processo di provisioning automatico dei progetti nuovi e la rimozione di quelli eliminati: resourcemanager.projects.get resourcemanager.projects.list Consente al ruolo di abilitare i servizi Google Cloud usati per l'individuazione delle risorse: serviceusage.services.enable Usato per creare ed elencare i ruoli IAM: iam.roles.create iam.roles.list Consente al ruolo di fungere da account del servizio e di ottenere l'autorizzazione per le risorse: iam.serviceAccounts.actAs Consente al ruolo di visualizzare i dettagli del progetto e impostare i metadati dell'istanza comuni: compute.projects.get compute.projects.setCommonInstanceMetadata |
| Defender per server | microsoft-defender-for-servers azure-arc-for-servers-onboard |
Accesso in sola lettura per ottenere ed elencare il motore di calcolo risorse compute.viewer iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| Defender per database | defender-for-databases-arc-ap | Autorizzazioni per il provisioning automatico ARC di Defender per database compute.viewer iam.workloadIdentityUser iam.serviceAccountTokenCreator osconfig.osPolicyAssignmentAdmin osconfig.osPolicyAssignmentReportViewer |
| CSPM Defender Defender per Archiviazione |
data-security-posture-storage | Autorizzazione per lo scanner di Defender per il cloud per individuare i bucket di archiviazione GCP, per accedere ai dati nei bucket di archiviazione GCP storage.objects.list storage.objects.get storage.buckets.get |
| CSPM Defender Defender per Archiviazione |
data-security-posture-storage | Autorizzazione per lo scanner di Defender per il cloud per individuare i bucket di archiviazione GCP, per accedere ai dati nei bucket di archiviazione GCP storage.objects.list storage.objects.get storage.buckets.get |
| Defender CSPM | microsoft-defender-ciem | Autorizzazioni per ottenere informazioni dettagliate sulla risorsa dell'organizzazione. resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy storage.buckets.getIamPolicy |
| CSPM Defender Defender per server |
MDCAgentlessScanningRole | Autorizzazioni per l'analisi dei dischi senza agente: compute.disks.createSnapshot compute.instances.get |
| CSPM Defender Defender per server |
cloudkms.cryptoKeyEncrypterDecrypter | Le autorizzazioni per un ruolo del server di gestione delle chiavi GCP esistente vengono concesse per supportare l'analisi dei dischi crittografati con CMEK |
| CSPM Defender Defender per contenitori |
mdc-containers-artifact-assess | Autorizzazione per l'analisi delle immagini da GAR e GCR. artifactregistry.reader storage.objectViewer |
| Defender per contenitori | mdc-containers-k8s-operator | Autorizzazioni per raccogliere dati dai cluster GKE. Aggiornare i cluster GKE per supportare la restrizione IP. container.viewer MDCGkeClusterWriteRole: container.clusters.update* MDCGkeContainerResponseActionsRole: container.pods.update, container.networkPolicies.create container.networkPolicies.update container.networkPolicies.delete |
| Defender per contenitori | microsoft-defender-containers | Autorizzazioni per creare e gestire il sink di log per instradare i log a un argomento di pubblicazione/sottoscrizione cloud. logging.sinks.list logging.sinks.get logging.sinks.create logging.sinks.update logging.sinks.delete resourcemanager.projects.getIamPolicy resourcemanager.organizations.getIamPolicy iam.serviceAccounts.get iam.workloadIdentityPoolProviders.get |
| Defender per contenitori | ms-defender-containers-stream | Autorizzazioni per consentire la registrazione per l'invio di log alla pubblicazione/sottoscrizione: pubsub.subscriptions.consume pubsub.subscriptions.get |
Passaggi successivi
Questo articolo ha illustrato in che modo Defender per il cloud usa il controllo degli accessi basato sul ruolo di Azure per assegnare autorizzazioni agli utenti e identificare le azioni consentite per ogni ruolo. Ora che è stata acquisita familiarità con le assegnazioni di ruolo necessari per monitorare lo stato di sicurezza della sottoscrizione, modificare i criteri di sicurezza e applicare i consigli, si apprenderà come eseguire queste operazioni: